平台
wordpress
组件
recent-posts-from-each-category
修复版本
1.4.1
CVE-2025-49354 描述了 Mindstien Technologies Recent Posts From Each Category 插件中的跨站请求伪造 (CSRF) 漏洞,该漏洞进一步允许存储型 XSS 攻击。攻击者可以利用此漏洞在未经用户授权的情况下执行恶意操作,导致敏感信息泄露或网站被恶意篡改。此漏洞影响 Recent Posts From Each Category 的 0.0.0 到 1.4 版本。建议尽快升级到最新版本以修复此问题。
此 CSRF 漏洞结合存储型 XSS 攻击,使得攻击者能够诱导用户执行未经授权的操作,例如修改网站内容、窃取用户凭据或植入恶意脚本。攻击者可以通过精心设计的恶意链接或表单,欺骗用户点击并提交包含恶意代码的请求。存储型 XSS 攻击意味着恶意脚本会被存储在数据库中,并影响所有访问相关页面的用户,造成更广泛的影响。攻击者可以利用此漏洞进行钓鱼攻击、窃取敏感数据,甚至完全控制受影响的网站。
目前尚无公开的漏洞利用代码 (PoC),但该漏洞的严重性较高,存在被利用的风险。该漏洞已于 2025 年 12 月 31 日公开披露。建议密切关注安全社区的动态,并及时采取缓解措施。
Websites using the Recent Posts From Each Category plugin, particularly those with user accounts and sensitive data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'recent-posts-from-each-category' /var/www/html/wp-content/plugins/• generic web:
curl -I https://example.com/wp-content/plugins/recent-posts-from-each-category/ | grep -i 'content-security-policy'• wordpress / composer / npm:
wp plugin list --status=inactive | grep recent-posts-from-each-categorydisclosure
漏洞利用状态
EPSS
0.02% (5% 百分位)
CISA SSVC
CVSS 向量
为了缓解 CVE-2025-49354 的影响,首要措施是立即升级到最新版本的 Recent Posts From Each Category 插件。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 来过滤恶意请求,并实施严格的输入验证和输出编码策略,以防止 XSS 攻击。此外,建议定期审查网站代码,并使用安全扫描工具来检测潜在的漏洞。如果升级导致网站出现问题,可以尝试回滚到之前的版本,并联系插件开发者寻求支持。
没有已知的补丁可用。请深入审查漏洞的详细信息,并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-49354 是 Mindstien Technologies Recent Posts From Each Category 插件中的一个跨站请求伪造 (CSRF) 漏洞,允许存储型 XSS 攻击,影响 0.0.0 – 1.4 版本。
如果您正在使用 Recent Posts From Each Category 插件的版本在 0.0.0 到 1.4 之间,则您可能受到此漏洞的影响。
建议立即升级到最新版本的 Recent Posts From Each Category 插件。
目前尚无公开的漏洞利用代码,但由于漏洞的严重性,存在被利用的风险。
请访问 Mindstien Technologies 官方网站或 WordPress 插件目录以获取更多信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。